审计服务

缺省情况下，启用审计服务 auditd。要了解如何启用、刷新或禁用该服务，请参见启用和禁用审计服务。

如果没有客户配置，则使用以下缺省配置：

• 审计所有登录事件。

  审计成功和不成功的登录尝试。

• 审计所有用户的登录和注销事件，包括角色承担和屏幕锁定。

• audit_binfile 插件处于活动状态。/var/audit 目录存储审计记录，不限制审计文件的大小，且队列大小为 100 条记录。

• 设置了 cnt 策略。

  审计记录填满可用磁盘空间时，系统将跟踪丢弃的审计记录数。剩余百分之一的可用磁盘空间时，将会发出警告。

• 设置了以下审计队列控制：

  • 生成记录锁定之前审计队列中的最大记录数是 100

  • 阻塞的审计进程解除阻塞之前审计队列中的最小记录数是 10

  • 审计队列的缓冲区大小是 8192 字节

  • 将审计记录写入审计迹的时间间隔是 20 秒

要显示缺省值，请参见显示审计服务缺省值。

使用审计服务，可以设置临时值或活动值。这些值可能不同于已配置的值或属性值。

• 刷新或重新启动审计服务时，不会恢复临时值。

  审计策略和审计队列控件均接受临时值。审计标志没有临时值。

• 已配置的值存储为服务的属性值，因此刷新或重新启动审计服务时会恢复这些值。

权限配置文件控制可以管理审计服务的人员。有关更多信息，请参见用于管理审计的权限配置文件。

缺省情况下，以相同方式审计所有区域。请参见审计和 Oracle Solaris 区域。